電子署名の使用

Adobe Sign 電子署名ワークフローは、すべてのレベルのサービスで利用できます。

機能の説明

電子署名は、証明書ベースのデジタル ID を使用する電子サインの一種であり、クラウドベースのトラストサービスプロバイダーまたは署名者のローカルシステムから取得されます。

電子署名は、従来の手書き署名と同じように、文書に署名した個人を識別するものです。手書き署名とは異なり、証明書ベースの署名には署名者に固有の情報が暗号化されて格納されているため、偽造することは困難です。証明書ベースの署名は簡単に確認でき、受信者は署名者が最初に文書に署名した後に文書が変更されたかどうかを知ることができます。

Adobe Sign は(テキストタグ、Adobe Sign オーサリング環境でのドラッグアンドドロップ、または Acroform を使用した Adobe Acrobat でのオーサリングのいずれかによって)電子署名フィールドをフォーム上に配置するという簡単な方法で電子署名をサポートしています。

タイムスタンプ

電子署名を適用する場合は、タイムスタンプが米国と EU 双方の署名に関するコンプライアンス標準の重要な要素になります。 

タイムスタンプは署名者の ID と文書そのものをロックする方法です。  ID は様々な方法(証明書、ログオン、ID カードなど)で取得できますが、タイムスタンプは、権限のある信頼できるタイムスタンプ発行機関(TSA)から提供される必要があります。 

タイムスタンプは、署名と文書をロックすることで、署名された契約書の長期的有効性(LTV)を保証します。  基本的に、ロックの錠を提供します。  これは、電子署名に関するコンプライアンスにとって非常に重要な意味を持ちます。個人の署名証明書は失効するおそれがありますが、タイムスタンプの LTV は、時間が経過しても署名の有効性を変えずに延長することができるからです。  LTV タイムスタンプにより、証明書が適用時に有効であったことが保証され、また、署名者の実際の証明書が有効期間を過ぎても、署名された契約書の有効性が維持されます。

注意:

タイムスタンプの証拠は、ISO 8601 表記を使用して電子署名に表示されます。


EU の eIDAS に準拠した認定済みタイムスタンプ

欧州の Adobe Sign EU1 インスタンスに含まれているすべてのアカウントには、デフォルトで、eIDAS 準拠の認定済みタイムスタンプが適用されます。(アカウントがどのインスタンスに含まれているかを把握するにはこちらを参照)。

使用方法

送信者の場合

送信者からすると、必要なことは、送信する文書に電子署名フィールドを配置するだけです。


文書/テンプレート作成者の場合

各受信者は、契約書内で最大でも 1 つの電子署名フィールドが割り当てられている可能性があります。必要なその他の署名フィールドは、標準的な電子サインフィールドタイプになります。

1 人の署名者が電子署名を使用しているというだけで、他の署名者も使用しなければならないわけではありません。外部の署名者が電子サインフィールドタイプを使用するのに対して、内部の署名者だけに電子署名を適用させること(またはその逆)は、完全に許可されます。

 

ドラッグ&ドロップオーサリングの使用

テンプレート作成者には、オーサリング環境の「署名フィールド」セクションに「電子署名」フィールドが表示されます。

以下に示すように、電子サインフィールドが左側に、電子署名フィールドが右側に表示されます。

電子署名フィールド

テキストタグの構文

電子署名フィールドの構文は、引数 :digitalsignature を使用します。

例:{{digsig1_es_:signer1:digitalsignature}}

注意:

前述のように、各文書には署名者ごとに 1 つの電子署名フィールドのみ配置できます。

1 人の署名者に複数の電子署名(例えば、{{digsig1_:signer1: digitalsignature}}{{digsig2_:signer1: digitalsignature}})を追加すると、文書が署名用に送信される際に、最初のもののみが保持され、その他は自動的に削除されます。


Acrobat でのフォームの作成

他のすべてのフィールドタイプと同様、Acrobat で文書を作成する際に、すべての引数によるフルテキストタグ(ただし、両端が中括弧のペアでない)を含めるようにフィールドの名前を変更することで、テキストタグの機能を複製できます。

署名者のエクスペリエンス

電子署名は証明書ベースなので、署名者は、署名を適用する前にデジタル ID を取得する必要があります。このデジタル ID は、複数のクラウド署名プロバイダーのいずれかから取得できます。あるいは、Adobe Acrobat または Acrobat Reader でローカルのデジタル ID を使用して署名を適用することによっても取得できます。

Adobe Sign ソリューションでの署名者のプロセス:

  • 契約書を開いて、必須フィールドに入力します。
  • 既存のデジタル ID から選択するか、新しいデジタル ID を作成します。
  • 署名を適用します。

署名が適用されたら、通常の署名サイクルを続行します。


契約書を開いて、フィールドに入力する...

署名者は、電子メールで通知され、「レビューして署名」ボタンをクリックして、契約書を開くように指示されます。

レビューして署名電子メール

 

文書が開いたら、署名者は文書を読んで、必要なすべてのフィールドに入力することができます。署名者が署名プロセスに進む前に、すべての必須フィールドに入力する必要があります。

電子署名フィールドの上にマウスポインターを置くと、テキストバルーンに補足説明が表示されます。

 

フィールドをクリックすると、オーバーレイが開き、次のパスのうちどちらかを選択するように求められます。

  • クラウド署名(この後の説明ではこのパスを選択します)
  • ダウンロードして Acrobat で署名(ダウンロード方法についてはこちらをクリック)

適切なオプションを選択して、「次へ」をクリックします。

 

ID プロバイダーをドロップダウンから選択するように求める新しいオーバーレイが表示されます。

  • ドロップダウンに表示されているプロバイダーのみを使用できます。
  • 許容されるデジタル ID がない署名者は、「新しいデジタル ID を取得」というリンクをクリックすることで、手順に従って複数のクラウド署名プロバイダーのいずれかから新しいデジタル ID を取得することができます。
  • 新しいデジタル ID を取得したら、署名プロセスに戻ることができます。

 

ID プロバイダーが署名者にサービスへの認証を求めます。

 

認証されると、選択できる有効なデジタル ID のリストが表示されます。

  • デジタル ID を選択します。
  • 次へ」をクリックします。

 

署名のプレビューが表示されます。

  • 署名を編集」をクリックして、次のいずれかをおこないます。
    • マウスまたはタッチパッドを使用して手動で署名する
    • 署名画像をアップロードする
  • 次に進む用意ができたら、「OK 」をクリックします。

 

署名者は契約書に戻り、クリックして署名するように求められます。

 

その後、ID プロバイダーから追加の 2 要素認証が求められる場合があります。

例えば、下記のプロバイダーでは、デジタル ID の取得時に設定された静的な PIN と、ワンタイムパスワードが要求されます。

  • 必要な値をすべて入力し、「OK」をクリックします。

 

2 要素認証が正常におこなわれると、文書は署名され、成功のメッセージが表示されます。

注意:

「ダウンロードして Acrobat で署名」のオプションから適用された電子署名は、Adobe Acrobat または Adobe Acrobat Reader XI v11.0.7 以降を使用する必要があります。

ダウンロードして Acrobat で署名」を選択すると、手順を説明するオーバーレイが表示されます。

  • OK」をクリックします。

 

すべての必須フィールドに入力すると、青い「署名を続行」ボタンがウィンドウの下から表示されます。

  • 署名を続行」をクリックします。


PDF をダウンロードして Acrobat または Adobe Reader で開く

署名を続行」ボタンをクリックすると、ダウンロードページが表示されます。

注意:

Acrobat または Adobe Reader がない場合、ダウンロードしてインストールする必要があります。ページの下部に、無料で使用できる PDF ビューアの Adobe Reader へのリンク(> ここで入手) があります。

 

文書をダウンロード」ボタンをクリックすると、Acrobat(または Reader、インストールしているアプリケーションによる)で PDF が開きます。

Reader のウィンドウの上部に、電子署名が必要であることを示す青いバナーがあります。

黄色のタブは、クリックする場所と署名の配置を示します。


新しいデジタル ID の作成

署名領域をクリックすると、利用可能な証明書を示すダイアログボックスが開きます。 

有効なデジタル ID が既にある場合:

  • 署名用に使用する証明書を選択します。
  • 続行」をクリックします。
  • 署名を適用」までスキップします。

証明書が見つからない場合は、「新しいデジタル ID を設定」ボタンのみ使用できます。

 

新しいデジタル ID を作成するボタンをクリックすると、設定パネルが表示されます。ここには、3 つのオプションがあります。

  • 署名作成デバイスの使用:ローカルシステムに接続した物理デバイスがある場合に使用します。
  • ファイルのデジタル ID を使用:ネットワークファイルから既存のデジタル ID を読み込む場合に使用します。
  • 新しいデジタル ID の作成:アクセスできる既存のデジタル ID がない場合に使用します。

新しいデジタル ID の作成」を選択し、「続行」をクリックします。

 

デジタル ID を保存する場所を確認するパネルに変更されます。

  • ファイルに保存:このオプションは、デジタル ID をローカルシステムに保存し、Adobe ベースの署名でデジタル ID を使用できるようにします。
  • Windows 証明書ストアに保存:デジタル ID を Windows 証明書ストアに保存すると、保存されたデジタル ID を Adobe Reader/Acrobat 以外のアプリケーションで利用できます。

ファイルに保存」を選択し、「続行」をクリックします。

 

パネルが更新されて、デジタル ID の詳細が表示されます。

すべてのフィールドが正しく入力されていることを確認し、「続行」をクリックします。

 

次に、デジタル ID のパスワードを指定するパネルが表示されます。

電子署名を適用するたびに、このパスワードを入力する必要があります。

パスワードを入力したら、「保存」をクリックしてデジタル ID の作成を完了します。

 

最初のパネルに戻り、すべてのデジタル ID が表示されます。

使用するデジタル ID を選択し、「続行」ボタンをクリックします。


署名を適用します。

続行」をクリックすると、パネルが更新されて、署名オブジェクトが視覚的に表示されます。

そのまま使用することも、オブジェクトの見た目をさらにカスタマイズすることもできます。

カスタマイズするには、パネルの右上にある「編集」ボタンをクリックして、カスタマイズパネルを読み込みます。

カスタマイズパネルの最上部に、アプリ内に存在するのと同じ署名オプションが表示されます。デフォルトフォントを描画した署名や画像に置き換えることができます。

編集したら、「保存」をクリックして、新しい形式を保存します。

 

前の画面に戻り、デジタル ID のパスワードの入力を求められます。

 

選択したデジタル ID のパスワードを「デジタル ID の PIN またはパスワードを入力」フィールドに入力して、「署名」をクリックします。

デジタル ID パネルが閉じられます。また、PDF が更新され、署名が有効であることを示す新しい青いバナーが上部に表示されます。さらに、電子署名に成功したことを確認する小さいポップアップウィンドウが表示されます。

 

OK」をクリックして PDF を閉じると、この受信者の署名プロセスは完了です。

以下に通常の電子サインフィールド(左側)および電子署名(右側)の例を示します。

履歴と監査レポート

「履歴」タブおよび関連する監査レポートは、電子署名された文書というイベントが追加されている点で、標準的な電子サインレポートとは少し異なります。

以下の例では、最初の署名者には 1 つの「電子サイン済み」イベントがあり、それがすべてであることがわかります。

2 番目の署名者には電子サイン済みイベントと電子署名済みイベントがあります。

これは、電子署名プロセスが 2 つの部分で実行されているためです。Web ブラウザーで(フィールドに入力して)おこなう部分と、ローカルデスクトップで(電子署名証明書を適用して)おこなう部分です。

署名者がフィールド部分を完了して「送信して署名に進む」ボタンをクリックすると、入力内容が更新されて、PDF に反映されます。これが、電子サイン済みイベントが示す内容です。

電子署名が適用されると、電子署名済みイベントが記載されます。

 

履歴情報の一貫性が保持され、監査レポートにも署名プロセスの 2 つのステージが反映されていることを確認できます。

設定方法

電子署名ワークフローは、Adobe Sign アカウント管理者によって Account レベルで有効にできます。

  • グループレベルの設定も可能で、その場合は、アカウントレベルの値よりも優先されます。

アカウントレベルの設定にアクセスするには、アカウント/アカウント設定/電子署名に移動します。

「電子署名」タブ

署名エクスペリエンスを管理するために設定できるオプションがいくつかあります。

署名者が、1 つ以上のソースからの電子署名を読み込むことを許可します。

  • ダウンロードして Acrobat で署名 - 署名者が自己証明署名を使用することを許可します。
  • クラウド署名 - 署名者がクラウドベースの電子署名を使用できるオプションを有効にします。これにより、モバイルデバイスでも電子署名を使用できるようになります。
    • 電子署名が署名プロセスにとって重要な場合、クラウドベースのオプションを有効にすることを強くお勧めします。

許容されるデジタル ID がない署名者には、複数のクラウド署名プロバイダーの 1 つからリンクを取得するためのリンクが提供されます。

管理者は、署名を収集するプロセスをガイドしたい場合、そのリンクにカスタムの URL を挿入できます。

承認する電子署名プロバイダーを選択します。  署名者は、選択したオプションのみを使用できます。

デフォルトでベンダーとして設定される、優先ベンダーを定義できます。

  • 1 ベンダーのみが許可されている場合、署名時の選択プロセスは省略されます。

外部署名者は、Adobe Sign アカウント外の電子メールアドレスとして定義されます。

  • 内部署名者は、Adobe Sign アカウント内で定義したすべてのユーザーを表します。

外部ユーザーと内部ユーザーで別の署名エクスペリエンスを作りたい場合は、上記のオプションの 2 番目の設定を有効にして、外部署名者にのみ適用します。

例えば、外部署名者用の署名ベンダーにはより寛容にし、内部署名者用に別の署名取得方法を提供することができます。

署名の理由の表示

一部のコンプライアンス要件では、電子署名を適用した理由を署名者が記入することが求められます。例:Title 21 CFR Part 11 および SAFE-BioPharma コンプライアンス。

コンプライアンスの要求を満たすために電子署名が使用される場合、署名プロセスで署名理由の入力も求める必要があるかどうかを法務チームに確認してください。

コントロールにアクセスするには、Bio-Pharma 設定リンクをクリックします。

高度な署名管理を必要とする場合は、BioPharma ページを参照してください >

制限されているクラウド署名プロバイダー

一部のプロバイダーは、サービスへのアクセスを事前に許可された顧客のみに制限しています。つまり、プロバイダーがそのアカウントに対してサービスの使用を許可するまで、サービスにアクセスできないことになります。

BankID Sweden はその例に当てはまる商業サービスの 1 つです。企業固有のプロバイダーも権限のあるアカウントに制限されます。

アクティベーションの際、そうしたプロバイダーは購読アカウントに対してサービスを設定するために、「アカウント ID」の提供を求めます。プロバイダーによって承認されると、ユーザーは制限されたサービスを使用できるようになります。それまでは、制限されたサービスを使用しようとすると、通常、プロバイダーからのエラーメッセージが表示されます。

注意:

アカウント ID はアカウントレベルのプロパティです。アカウントに属するすべてのグループが同じ ID アカウントを共有するため、制限されたプロバイダーがアカウントを許可すると、そのアカウントのすべてのグループが許可されます。


電子署名形式のオプション

PKCS#7 は、ほとんどの(EU 以外の)Adobe Sign アカウントで電子署名を制御するデフォルトの形式です。

欧州(EU1)シャードのアカウントは、eIDAS に準拠するためにデフォルトで PAdES 形式(ETSI EN 319142)を使用しています。

すべてのアカウントレベルの管理者は、Adobe Sign サポートチームにリクエストを送信することで、この設定をある形式から別の形式に変更することをリクエストできます。

この機能は、Group または Account レベルで有効化および設定できます。


RSA-PSS

RSA-PSS は RSA 暗号システムに基づく署名スキームであり、過去の RSA-PKCS#1 v.1.5 スキームに比べてセキュリティ保証が向上しています。 

Adobe Sign の RSA-PSS 導入には、アカウント管理者側での設定は必要ありません。

  • 「クラウド署名」が選択されていて、署名者のデジタル ID が RSA-PSS と RSA-PKCS#1 の両方をサポートしている場合、デフォルトで RSA-PSS 署名スキームが使用されます。
  • 「Acrobat で署名」が選択されている場合、RSS-PSS または RSA-PKCS#1 の使用は Acrobat アプリケーションにおける署名者の設定によって決まります。
  • Adobe Sign は、RSA-PSS スキームで署名される CRL および OCSP 応答を完全にサポートしています。
  • 適格電子サインに関するドイツ固有の要件に従うには RSA-PSS スキームを使用する必要があります。


知っておくべきこと

電子署名ワークフローは、契約書に一意のプロセスを強制します。署名を添えるために特別な処理が必要なので、注意が必要ないくつかの制限があります。

  • 各署名者には、1 つの電子署名フィールドのみを割り当てることができます。
  • Web フォームは電子署名をサポートしていません。
  • Mega Sign は、署名に対する「ダウンロードして Acrobat で署名 」の操作をサポートしていません。クラウドベースの電子署名は正しく機能します。
  • 電子署名を使用すると、「文書の表示制限」が無効になります。すべての受信者にすべてのページが表示されます。
  • モバイルデバイス上の署名者は、クラウドベースの電子署名のみを適用できます。
  • OAuth 認証モードを使用するクラウドベースのデジタル ID は、入力と署名機能ではサポートされません。
  • コンテンツを共有するユーザー、または高度な共有が有効になっているアカウントは、電子署名を使用できません。
  • eVaulting は、電子署名と同時に使用できません。
  • ファイルの添付を適用できるのは、最初の署名者のみです。その後の署名者が新しいファイルを添付すると、以前の電子署名がすべて無効になります。
  • トランザクション番号」フィールドでは、電子署名が電子サインに変換されます。
  • (契約書の作成に複数のドキュメントが使用されている場合に)「ドキュメントの分離を保つ」オプションの設定は、現在サポートされていません。ドキュメントは、1 つの完全なファイルとしてのみ返すことができます。